AIUTO AIUTO!!!!!

[koui]

AIUTO AIUTO!!!!!!
Sono in Francia ed ho un PC prestato (non saprei neanche come riformattarlo) che é impazzito....non mi permette di accedere alle periferiche (stampante, macchina fotografica...) é come se qualcosa (VIRUS) avesse preso il possesso del PC.
La connessione internet é ancora garantita.....come fare?
Allego il log di Hijack....TNX FOR HELP


Logfile of HijackThis v1.99.1
Scan saved at 14:36:10, on 09/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\ORel\LOCALS~1\Temp\Répertoire temporaire 9 pour hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.10.100:6666/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [svcchost.exe] svcchost.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0795339121
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

[Luke57]

Ciao, innanzi tutto devi scaricare la versione più recente di hijackthis (1.99.1) da qui:
http://www.pc-facile.com/HijackThis_s267/
scompattare il file, mettere l'eseguibile (.exe) in una cartella del disco fisso ad esso dedicata, tipo C\HJT o C\Programmi\HJT, in modo che il programma possa fare un backup delle voci rimosse.
Avvia il sistema in modalità provvisoria (tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette)
apri hijackthis, premi “ do a system scan only”, cerchi e metti il segno di spunta alle seguenti voci:
O4 - HKLM\..\Run: [svcchost.exe] svcchost.exe
O4 - HKLM\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe /s
O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
Rendi visibili file e cartelle da esplora risorse cliccando strumenti>opzionicartella>visualizzazione, metti il segno di spunta a “visualizza file e cartelle nascoste”, toglilo a “nascondi file di sistema protetti”
cerchi ed elimini, se ci sono i seguenti file:
C:\WINDOWS\SYSTEM32\tcpR32.dll
C:\WINDOWS\System\svwhost.exe /s
C:\WINDOWS\System\svwhost.exe
Cancella tutti i fle temporanei di windows (temp e tmp, fai così start>cerca>tutti i file e cartelle, copi e incolli *.temp;*.tmp ed elimini tutti i file trovati, cancella i file temporanei di IE (pannello di controllo>opzioni internet> su generale cancelli cronologia, elimine file i temporanei anche non in linea, cookies), svuota il cestino. Da pannello di controllo, installazioni\applicazioni, cancella tutti i programmi non installati da te. Scansione con antivirus aggiornato. Posta un nuovo log di hijakthis

[koui]

Ciao, Luke......grazie innanzitutto per la mano....
ho fatto come dici e allora:
1) C:\WINDOWS\SYSTEM32\tcpR32.dll non é cancellabile perché in uso (ma da chi?.....)
C:\WINDOWS\System\svwhost.exe /s non c'é !
C:\WINDOWS\System\svwhost.exe non c'é !
per il resto ho usato "antivir" aggiornato in modalità provvisoria: nessun problema....
ti riallego log di hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:58:15, on 09/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\manuel\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://192.168.10.100:6666/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0795339121
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

[fabrizius]

l'unica voce da eliminare é questa :O20 - Winlogon Notify: tcpR32 - C:\WINDOWS\SYSTEM32\tcpR32.dll

e poi al limite scarica killbox,:
http://www.bleepingcomputer.com/files/spyware/KillBox.zip
Dalla modalità provvisoria,
Avvia KILLBOX ed inserisci questo in Full path se la trovi)
C:\WINDOWS\SYSTEM32\tcpR32.dll

Metti la spunta a "delete on Reboot
Clicca sulla X rossa in alto a destra

sempre dalla modalità provvisoria dai anche una ripulita a Cache-Cookies e file prefetch (XP) con Ccleaner
http://www.filehippo.com/download_ccleaner.html

[Luke57]

Ciao, se l'operazione suggerita da Fabrizius fallice, per provare a eliminare la dll, scarica l’unistaller da qui
http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller
clicchi su I accept segnati la chiave che ti da scarica l'uninstaller e lancialo (immetti la chiave quando ti sarà chiesta).

[patrix966]

Ciao..dai titoli più descrittivi ai tuoi topic..in modo da invogliare gli utenti a leggerlo e in modo da rendere la ricerca,agli utenti con il tuo problema,più semplice

Per quanto riguarda il problema:
Da come ho capito le periferiche che non funzionano sono tutte collegate usb giusto?
Non è detto sia un virus..potrebbe anche dipendere da qualche driver andato perso..controlla in gestione periferiche..e vedi che non ci siano punti esclamativi o interrogativi..

[koui]

regazzi grazie per l'aiuto....
sono riuscito a cancellare tcpR32.dll...ok
il Pc funziona bene, ma non riesco ad accedere ad alcuna periferica....in particolare per la stampante ad esempio non riesco a configurare la porta, che non compare proprio.
inoltre anche la scheda sonora non riesco ad arrivarci nel senso che apro la finestra ma non riesco ad accedere alle possibilità di regolare gli elementi...
su un sito francese inoltre, visto che on riuscivo ad aprire gestione risorse, era suggerita una procedura con MMC "Manager M...... Console" che ora mi dice di non riuscire a trovare il file....dunque gestione risorse non lo apro.
Quando voglio aprire il windows firewall mi dice che in virtu' di un prblema NON IDENTIFICATO non é accessibile.....
che diavolo succede? da che dipende sto casino?
grazie ancora per la mano